-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA256 JPCERT-WR-2019-2101 JPCERT/CC 2019-06-05 <<< JPCERT/CC WEEKLY REPORT 2019-06-05 >>> ―――――――――――――――――――――――――――――――――――――― ■05/26(日)〜06/01(土) のセキュリティ関連情報 ―――――――――――――――――――――――――――――――――――――― == 目 次 ================================================================== 【1】PHP に複数の脆弱性 【2】複数の Apple 製品に脆弱性 【3】WordPress 用プラグイン Zoho SalesIQ に複数の脆弱性 【4】Quest 製 KACEシステム管理アプライアンス (K1000) に複数の脆弱性 【今週のひとくちメモ】JPCERT/CC および IPA が「情報セキュリティ早期警戒パートナーシップガイドライン2019年版」を公開 ※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。 https://www.jpcert.or.jp/wr/ ※HTML 版および XML 版は以下のページをご覧ください。 https://www.jpcert.or.jp/wr/2019/wr192101.html https://www.jpcert.or.jp/wr/2019/wr192101.xml ============================================================================ 【1】PHP に複数の脆弱性 情報源 The PHP Group PHP 7.3.6 Release Announcement https://php.net/archive/2019.php#id2019-05-30-1 The PHP Group PHP 7.2.19 Release Announcement https://php.net/archive/2019.php#id2019-05-30-2 The PHP Group PHP 7.1.30 Released https://php.net/archive/2019.php#id2019-05-30-3 概要 PHP には、複数の脆弱性があります。結果として、第三者がサービス運用妨害 (DoS) 攻撃を行うなどの可能性があります。 対象となるバージョンは次のとおりです。 - PHP 7.3.6 より前のバージョン - PHP 7.2.19 より前のバージョン - PHP 7.1.30 より前のバージョン この問題は、PHP を開発者や配布元が提供する修正済みのバージョンに更新す ることで解決します。詳細は、開発者や配布元が提供する情報を参照してくだ さい。 関連文書 (英語) The PHP Group PHP 7 ChangeLog Version 7.3.6 https://www.php.net/ChangeLog-7.php#7.3.6 The PHP Group PHP 7 ChangeLog Version 7.2.19 https://www.php.net/ChangeLog-7.php#7.2.19 The PHP Group PHP 7 ChangeLog Version 7.1.30 https://www.php.net/ChangeLog-7.php#7.1.30 【2】複数の Apple 製品に脆弱性 情報源 US-CERT Current Activity Apple Releases Security Updates for AirPort Extreme, AirPort Time Capsule https://www.us-cert.gov/ncas/current-activity/2019/05/30/Apple-Releases-Security-Updates-AirPort-Extreme-AirPort-Time Japan Vulnerability Notes JVNVU#98453159 複数の Apple 製品における脆弱性に対するアップデート https://jvn.jp/vu/JVNVU98453159/ 概要 複数の Apple 製品には、脆弱性があります。結果として、遠隔の第三者が任 意のコードを実行するなどの可能性があります。 対象となる製品は次のとおりです。 - AirPort Base Station Firmware Update 7.9.1 より前のバージョン - iTunes for Windows 12.9.5 より前のバージョン - iCloud for Windows 7.12 より前のバージョン この問題は、該当する製品を Apple が提供する修正済みのバージョンに更新 することで解決します。詳細は、Apple が提供する情報を参照してください。 関連文書 (日本語) Apple AirMac ベースステーション ファームウェア・アップデート 7.9.1 のセキュリティコンテンツについて https://support.apple.com/ja-jp/HT210090 Apple iTunes for Windows 12.9.5 のセキュリティコンテンツについて https://support.apple.com/ja-jp/HT210124 Apple Windows 用 iCloud 7.12 のセキュリティコンテンツについて https://support.apple.com/ja-jp/HT210125 【3】WordPress 用プラグイン Zoho SalesIQ に複数の脆弱性 情報源 Japan Vulnerability Notes JVN#88962935 WordPress 用プラグイン Zoho SalesIQ における複数の脆弱性 https://jvn.jp/jp/JVN88962935/ 概要 WordPress 用プラグイン Zoho SalesIQ には、複数の脆弱性があります。結果 として、遠隔の第三者が、管理画面にログインしているユーザのウェブブラウ ザ上で任意のスクリプトを実行するなどの可能性があります。 対象となるバージョンは次のとおりです。 - Zoho SalesIQ 1.0.8 およびそれ以前 この問題は、Zoho SalesIQ を開発者が提供する修正済みのバージョンに更新 することで解決します。詳細は、開発者が提供する情報を参照してください。 関連文書 (英語) Zoho SalesIQ Team Changelog https://wordpress.org/plugins/zoho-salesiq/#developers Zoho SalesIQ Team SalesIQ https://www.zoho.com/salesiq/ 【4】Quest 製 KACEシステム管理アプライアンス (K1000) に複数の脆弱性 情報源 CERT/CC Vulnerability Note VU#877837 Multiple vulnerabilities in Quest Kace System Management Appliance https://kb.cert.org/vuls/id/877837/ 概要 Quest 製 KACEシステム管理アプライアンス (K1000) には、複数の脆弱性があ ります。結果として、当該製品にアクセスできる第三者が、管理アカウントを 作成したり、製品の設定を変更したりするなどの可能性があります。 対象となるバージョンは次のとおりです。 - KACEシステム管理アプライアンス (K1000) Version 9.1.317 より前のバージョン この問題は、Quest 製 KACEシステム管理アプライアンス (K1000) を Quest が提供する修正済みのバージョンに更新することで解決します。詳細は、Quest が提供する情報を参照してください。 関連文書 (日本語) Japan Vulnerability Notes JVNVU#91210160 Quest 製 Kace システム管理アプライアンス (K1000) における複数の脆弱性 https://jvn.jp/vu/JVNVU91210160/ 関連文書 (英語) Quest Software Inc. CERT Coordination Center report update (288310) https://support.quest.com/kb/288310/cert-coordination-center-report-update ―――――――――――――――――――――――――――――――――――――― ■今週のひとくちメモ ―――――――――――――――――――――――――――――――――――――― ○JPCERT/CC および IPA が「情報セキュリティ早期警戒パートナーシップガイドライン2019年版」を公開 2019年5月30日、JPCERT/CC と情報処理推進機構 (IPA) は「情報セキュリティ 早期警戒パートナーシップガイドライン2019年版」を公開しました。 本ガイドラインは、国内におけるソフトウエア等の脆弱性関連情報を適切に流 通させることを目的に作られている枠組み「情報セキュリティ早期警戒パート ナーシップ」に関わる担当者の行動指針を記載したものです。 脆弱性の発見者が脆弱性関連情報を届け出る際や、製品開発者およびウェブサ イト運営者が脆弱性に関する通知を受けた際には、本ガイドラインに基づいた 対応をご検討ください。 参考文献 (日本語) JPCERT/CC 脆弱性対策情報 ガイドライン https://www.jpcert.or.jp/vh/top.html#guideline 情報処理推進機構 (IPA) 情報セキュリティ早期警戒パートナーシップガイドライン https://www.ipa.go.jp/security/ciadr/partnership_guide.html ―――――――――――――――――――――――――――――――――――――― ■JPCERT/CC からのお願い ―――――――――――――――――――――――――――――――――――――― ◇本レポートに関するお問い合わせは editor@jpcert.or.jp 宛にお願い致しま す。ただし、JPCERT/CC では、提供する情報について具体的な内容そのものに ついてのご質問にはお答えできない場合もあります。またバックナンバーは、 以下の URL からご利用いただけます。 https://www.jpcert.or.jp/wr/ ◇本メーリングリストの購読申込や購読停止、また登録した電子メールアドレス の変更などにつきましては、以下の URL を参照してください。 https://www.jpcert.or.jp/announce.html ◇JPCERT/CC へのセキュリティインシデントの報告方法については以下の URL を参照してください。 https://www.jpcert.or.jp/form/ 以上。 __________ -----BEGIN PGP SIGNATURE----- iQEcBAEBCAAGBQJc9HujAAoJEDF9l6Rp7OBI57QIAJopNwKFypTJW4R2DEhJ8Mi3 GAZqAzQYySteHS97hzEZbNMwGy0thqCnYOj9UVt28nBbUSg8jvPwPphfEbYgGwQp Zpl5PG0avmaNWBbGMAfaT0R7QvQodGDzV7yr4aVBCbQ3KZsURWw0mm968lbuUU3/ 56xj9DXZuBS2xWwqNSLqZ5IehljwujkNwNAci2k8KXNT8Veh9MqCbHxLFJ3lGyLJ 0hydkzPwnOSQ7v6L5N8b59iUl9cZjL+FOWCwTOU6e8r+QDQZ+hmoVF1I579F0zXi 5c20ZShU/bkGc1RZt5RoSZ3kF5L0yYGmoIWl8oGP/nQoUfnLK9xPwA75fohlbAQ= =klrq -----END PGP SIGNATURE-----